ti-enxame.com

Segurança: práticas recomendadas para disabled_functions e classes

Como o Joomla usa tantos componentes de terceiros e outras coisas, quais são algumas funções e classes seguras a serem adicionadas ao php.ini para disabled_classes e disabled_functions?

O motivo pelo qual peço isso é bloquear mais um servidor, adicionando mais às propriedades do php.ini.

exec() é óbvio, no entanto, como base64_decode() não são, uma vez que são usados ​​com frequência, existem outras funções seguras e que valem a pena? (sem contar os padrões que o php usa).

NOTA: Isso não significa "curar tudo" por segurança, apenas uma parte da segurança.

3
Jordan Ramstad

Estes são alguns comuns que as pessoas recomendam desativar:

show_source, sistema, Shell_exec, passthru, exec, popen, proc_open,

Especialmente em ambientes Joomla sem problemas. É realmente mais um caso de uso quando se trata de algumas funções, mas, idealmente, você não deseja deixar nenhuma delas especialmente instável se não as estiver usando. Também recomendo desativar os métodos HTTP que não estão sendo usados ​​arbitrariamente ou sistematicamente como DELETE ou TRACE.

1
Milton Bryant

Se você está confiando nas configurações do php.ini para desativar as funções principais, a fim de fornecer mais "segurança", você já falhou.

A segurança do servidor é mais do que desativar funções. De fato, um servidor muito seguro não precisa de nenhuma função PHP Funções desabilitadas na maneira como você se refere.

Além disso, se você implementar arquivos php.ini (.user.ini) por usuário para desativar essas funções, tudo o que um hacker precisa fazer é removê-los para obter acesso às funções que você considerava seguras e bloqueadas!

Mesmo que a lista de verificação "oficial" diga para desativar funções, não acredite em tudo que você lê sobre este assunto!

1
Phil Taylor

Uma boa prática é ter um usuário do sistema exclusivo para executar o seu joomla. Assim, você pode restringir esse usuário a acessar apenas a pasta joomla.

Eu acho que você deve evitar desativar essas funções porque alguma extensão pode precisar delas para o bem e não para o mal.

0
csbenjamin